/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Secure FTP eller S-FTP ?
Fra : Povl H. Pedersen


Dato : 07-10-03 00:18

Jeg er ved at se på Secure-FTP til kunder. Nu er det så
jeg er kommet i tvivl da der findes 2 versioner.

Glub Tech Secure FTP wrapper er et produkt der kan sættes
til at lytte på en anden port (typisk port 990), etablere
en SSL/TLS connection til klienten, og tale med en vilkårlig
FTP server i den anden ende. Dette er vist hvad der generelt
kaldes for Secure-FTP. Visse servere supporterer også
forhandling af SSL/TLS over-the-wire på port 21.

De fleste FTp klienter, incl. Cute-FTP ser ud til at understotte denne.


Der er så et andet produkt, SFTP, som er et sub-system til
SSH-2 og som korer ovenpå SSH. Der er en IETF draft på denne,
og i modsætning til den ovenstående, så supporterer denne alle
de features der er i SSH, inklusive client certs etc. Så det
er den mest tillokkende set fra et serversynspunkt. De kommercielle
versioner er dog ikke billige (ja, jeg ved Cygwin + OpenSSH er
lige så godt og gratis, men jeg skal bruge et supporteret produkt).


 
 
Niels Callesøe (07-10-2003)
Kommentar
Fra : Niels Callesøe


Dato : 07-10-03 00:59

Povl H. Pedersen wrote in
<news:slrnbo3u1s.73d.pope@mail.home.terminal.dk>:

> Glub Tech Secure FTP wrapper er et produkt der kan sættes
> til at lytte på en anden port (typisk port 990), etablere
> en SSL/TLS connection til klienten, og tale med en vilkårlig
> FTP server i den anden ende. Dette er vist hvad der generelt
> kaldes for Secure-FTP.

Hvaba? Det synes jeg lyder noget mærkeligt. Det virker som en noget
omstændig løsning og jeg har da heller aldrig hørt om den før (ikke at
det siger så meget). Jeg tror nu alligevel at det, de fleste kalder
"Secure FTP" er SFTP som du selv nævner nedenfor.

[snip]

> Der er så et andet produkt, SFTP, som er et sub-system til
> SSH-2 og som korer ovenpå SSH. Der er en IETF draft på denne,
> og i modsætning til den ovenstående, så supporterer denne alle
> de features der er i SSH, inklusive client certs etc. Så det
> er den mest tillokkende set fra et serversynspunkt. De
> kommercielle versioner er dog ikke billige (ja, jeg ved Cygwin +
> OpenSSH er lige så godt og gratis, men jeg skal bruge et
> supporteret produkt).

Hm. Supporteret bliver måske lidt svært at klare, men der findes da et
par udemærkede løsninger der er native til Windows så du ikke behøver
rode med Cygwin. Eksempler:

PSFTP, en del af PuTTY suiten
http://www.chiark.greenend.org.uk/~sgtatham/putty/

eller mere GUI-agtigt, WinSCP
http://winscp.sourceforge.net/eng/
(WinSCP bygger på PuTTY i øvrigt)

Både med PuTTY og WinSCP kan du klare "alting" ved hjælp af kun
klassisk SCP+shell commands hvis du vil det.. men det lyder mere på dig
somom det letteste vil være at give dine brugere en færdigkonfigureret
(SFTP/SSH2) WinSCP inkl. nøgle som de bare kan rulle ud.

Hvis du /skal/ bruge support, kan du sikkert let finde en konsulent der
kan tilbyde at yde support på WinSCP. (Udvikleren, for eksempel..)

--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Endnu en grund til at have skæg: http://www.boycottgillette.com/

Martin Schultz (07-10-2003)
Kommentar
Fra : Martin Schultz


Dato : 07-10-03 13:13

"Niels Callesøe" <pfy@nntp.dk> writes:

> Povl H. Pedersen wrote in
> <news:slrnbo3u1s.73d.pope@mail.home.terminal.dk>:

> Hm. Supporteret bliver måske lidt svært at klare, men der findes da et
> par udemærkede løsninger der er native til Windows så du ikke behøver
> rode med Cygwin. Eksempler:

Jeg tror han mener servere og ikke klienter.

Martin

Niels Callesøe (07-10-2003)
Kommentar
Fra : Niels Callesøe


Dato : 07-10-03 23:58

Martin Schultz wrote in <news:ri8u16ls0tg.fsf@fafner.diku.dk>:

>> Hm. Supporteret bliver måske lidt svært at klare, men der findes
>> da et par udemærkede løsninger der er native til Windows så du
>> ikke behøver rode med Cygwin. Eksempler:
>
> Jeg tror han mener servere og ikke klienter.

Hm, okay. Jeg læste det som at han manglede en applikation hans kunder
kunne bruge.

Anyway, hvis FTP over SSL er nok, faldt jeg lige over at Serv-U 4.1
understøtter dette. Serv-U er så vidt jeg husker rimeligt godt og har
en fin track record. Hvis jeg husker rigtigt, er det nok et meget godt
bud, da prisen heller ikke er alt for ublu.

http://www.serv-u.com/

--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Endnu en grund til at have skæg: http://www.boycottgillette.com/

Niels Callesøe (08-10-2003)
Kommentar
Fra : Niels Callesøe


Dato : 08-10-03 00:27

Niels Callesøe wrote in <news:Xns940EA1BCCFD6k5j6h4jk3@62.243.74.163>:

> Anyway, hvis FTP over SSL er nok

Hvis det ikke er, er WAC måske en mulighed. Jeg har ingen erfaring med
det selv, men det ser udmiddelbart fornuftigt ud.

http://www.foxitsoftware.com/wac/server_intro.asp?keyword=SFTP

Der er dog den detalje, at de kun yder email support. Det er ikke
sikkert det er PHB-venligt nok, men hvad ved jeg..

--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Endnu en grund til at have skæg: http://www.boycottgillette.com/

Peter Makholm (07-10-2003)
Kommentar
Fra : Peter Makholm


Dato : 07-10-03 08:15

"Povl H. Pedersen" <pope@home.terminal.dk> writes:

> FTP server i den anden ende. Dette er vist hvad der generelt
> kaldes for Secure-FTP. Visse servere supporterer også
> forhandling af SSL/TLS over-the-wire på port 21.

Jeg har ofte hørt om FTP over TLS, men har aldrig set det
beskrevet. Jeg kan heller ikke lige se én enkel intuitiv måde at gøre
det på, hverken råt indlejret (ala HTTPS) eller forhandlet som en del
af protokollen (STARTTLS ala SMTP, IMAP, POP).

Findes der en standard for det?

Jeg kan hverken finde noget ved at lede i RFC'erne og hverken IETF's
ftpexp-arbejdsgruppe eller deres tls-arbejdsgruppe ser ud til at
arbejde på det.

--
Peter Makholm | Perhaps that late-night surfing is not such a
peter@makholm.net | waste of time after all: it is just the web
http://hacking.dk | dreaming
| -- Tim Berners-Lee

Sune Gellert (07-10-2003)
Kommentar
Fra : Sune Gellert


Dato : 07-10-03 11:10


"Peter Makholm" <peter@makholm.net> skrev i en meddelelse
news:87fzi5ldrq.fsf@xyzzy.adsl.dk...
> Jeg har ofte hørt om FTP over TLS, men har aldrig set det
> beskrevet. Jeg kan heller ikke lige se én enkel intuitiv måde at gøre
> det på, hverken råt indlejret (ala HTTPS) eller forhandlet som en del
> af protokollen (STARTTLS ala SMTP, IMAP, POP).
>
> Findes der en standard for det?
>
> Jeg kan hverken finde noget ved at lede i RFC'erne og hverken IETF's
> ftpexp-arbejdsgruppe eller deres tls-arbejdsgruppe ser ud til at
> arbejde på det.


Der er noget her :
http://www.ietf.org/internet-drafts/draft-murray-auth-ftp-ssl-12.txt

/Sune



Martin Schultz (07-10-2003)
Kommentar
Fra : Martin Schultz


Dato : 07-10-03 13:16

"Povl H. Pedersen" <pope@home.terminal.dk> writes:

> Jeg er ved at se på Secure-FTP til kunder. Nu er det så
> jeg er kommet i tvivl da der findes 2 versioner.
[snip]
> Så det
> er den mest tillokkende set fra et serversynspunkt. De kommercielle
> versioner er dog ikke billige (ja, jeg ved Cygwin + OpenSSH er
> lige så godt og gratis, men jeg skal bruge et supporteret produkt).


Nu ved jeg ikke hvad der er billigt for dig men jeg har gode erfaringer med
F-secures SSH/SFTP server til Windows. Den koster vist omkring 700-800$

Martin

Kent Friis (07-10-2003)
Kommentar
Fra : Kent Friis


Dato : 07-10-03 16:19

Den Mon, 6 Oct 2003 23:17:54 +0000 (UTC) skrev Povl H. Pedersen:
>Jeg er ved at se på Secure-FTP til kunder. Nu er det så
>jeg er kommet i tvivl da der findes 2 versioner.
>
>Glub Tech Secure FTP wrapper er et produkt der kan sættes
>til at lytte på en anden port (typisk port 990), etablere
>en SSL/TLS connection til klienten, og tale med en vilkårlig
>FTP server i den anden ende. Dette er vist hvad der generelt
>kaldes for Secure-FTP.

Dette kaldes normalt FTPS (ligesom HTTPS).

>Der er så et andet produkt, SFTP, som er et sub-system til
>SSH-2 og som korer ovenpå SSH.

Og dette kaldes SFTP.

Mvh
Kent
--
If I wanted a blue screen, I would type "xsetroot -solid blue"
- not c:\I386\WINNT.EXE

Kim Noer (07-10-2003)
Kommentar
Fra : Kim Noer


Dato : 07-10-03 23:28

Povl H. Pedersen wrote:

> er den mest tillokkende set fra et serversynspunkt. De kommercielle
> versioner er dog ikke billige (ja, jeg ved Cygwin + OpenSSH er
> lige så godt og gratis, men jeg skal bruge et supporteret produkt).

http://www.globalscape.com/gsftps/features.asp

som koster $395 og op.

--
I'm in search of myself. If you find me before I arrive, please have me
wait.



Peter Mogensen (08-10-2003)
Kommentar
Fra : Peter Mogensen


Dato : 08-10-03 13:02


Må jeg anbefale at man - hvis muligt - dropper FTP og istedet anvender
WebDAV (http://www.webdav.org) over SSL ?

De fleste systemer til sikker FTP, der er foreslået i denne tråd er
alligevel ikke mere bredt understøttet end WebDAV. SFTP er da godtnok
smart, hvis man i forvejen bruger SSH, men har som sådan ikke særlig
meget med FTP-protokollen at gøre.

WebDAV er bare en udvidelse til HTTP og er understøttet af mange server
og klient-produkter på både Linux, Macintosh, og Windows.

Peter


Socketd (08-10-2003)
Kommentar
Fra : Socketd


Dato : 08-10-03 14:37

On Mon, 6 Oct 2003 23:17:54 +0000 (UTC)
"Povl H. Pedersen" <pope@home.terminal.dk> wrote:

> De fleste FTp klienter, incl. Cute-FTP ser ud til at understotte
> denne.

Kast lige det link jeg plejer at kast, når folk siger ftp er usikkert
pga plaintext password + username.

http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html

mvh
db

Alex Holst (08-10-2003)
Kommentar
Fra : Alex Holst


Dato : 08-10-03 14:48

Socketd <db@no_spam_traceroute.dk> wrote:
> Kast lige det link jeg plejer at kast, når folk siger ftp er usikkert
> pga plaintext password + username.
>
> http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html

Hvilket link plejer du at kaste, naar folk siger ftp er usikkert pga.
brug af statiske passwords?

Trusselmodellen mod FTP er lidt stoerre end kun "plain-text password on
the wire."

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Povl H. Pedersen (10-10-2003)
Kommentar
Fra : Povl H. Pedersen


Dato : 10-10-03 00:07

On 2003-10-08,
Socketd <db@NO_SPAM_traceroute.dk> wrote:
> On Mon, 6 Oct 2003 23:17:54 +0000 (UTC)
> "Povl H. Pedersen" <pope@home.terminal.dk> wrote:
>
>> De fleste FTp klienter, incl. Cute-FTP ser ud til at understotte
>> denne.
>
> Kast lige det link jeg plejer at kast, når folk siger ftp er usikkert
> pga plaintext password + username.
>
> http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html

Jeg synes du mangler en ting i din server sektion.

Kan serveradmin TVINGE X.509 client auth igennem ? Og tvinge
kryptering til ?
Hvis man bruger AUTH kommandoerne, så er der som udgangspunkt
ikke garanti for at klienten vælger at bruge den.

Sune Gellert (10-10-2003)
Kommentar
Fra : Sune Gellert


Dato : 10-10-03 08:00


"Povl H. Pedersen" <pope@home.terminal.dk> skrev i en meddelelse
news:slrnbobqh5.llk.pope@mail.home.terminal.dk...
>>
> Kan serveradmin TVINGE X.509 client auth igennem ? Og tvinge
> kryptering til ?
> Hvis man bruger AUTH kommandoerne, så er der som udgangspunkt
> ikke garanti for at klienten vælger at bruge den.

På visse implementationer kan AUTH SSL enforces

USER xxxx
530 User xxxx access denied. Use secure access

/Sune



Socketd (08-10-2003)
Kommentar
Fra : Socketd


Dato : 08-10-03 15:16

On Wed, 8 Oct 2003 15:48:20 +0200
Alex Holst <a@mongers.org> wrote:

> Hvilket link plejer du at kaste, naar folk siger ftp er usikkert pga.
> brug af statiske passwords?
>
> Trusselmodellen mod FTP er lidt stoerre end kun "plain-text password
> on the wire."

Velvalgte statiske passwords med ssl logins er vel ikke ligefrem
_dårlig_ sikkerhed?
Med velvalgte menes der:
   Minimum X tegn lang
   Blanding af tal, tegn og store og små bogstaver
   Findes ikke i en "ordbog" (altså skal være umulig at gætte)

db

Alex Holst (08-10-2003)
Kommentar
Fra : Alex Holst


Dato : 08-10-03 15:59

Socketd <db@no_spam_traceroute.dk> wrote:
> On Wed, 8 Oct 2003 15:48:20 +0200
> Alex Holst <a@mongers.org> wrote:
>
>> Trusselmodellen mod FTP er lidt stoerre end kun "plain-text password
>> on the wire."
>
> Velvalgte statiske passwords med ssl logins er vel ikke ligefrem
> _dårlig_ sikkerhed?

Det kommer jo an ens situation.

I stedet for at skrive "sikker" eller "usikker" burde vi holde for oeje
hvilke angreb der er mulige mod det valgte system, og lade de ansvarlige
beslutte hvor mange resourcer de vil bruge paa deployment, udstyr,
traening, etc. Ideelt kunne dette vaere beskrevet i OSS'en saa
spoergsmaal af den natur kunne besvares med et link.

Finder du det saa usandsynligt at nogen nogensinde ville vaelge et
password der er let at gaette, eller bruger det samme password andre
steder hvor det let kan opsnappes eller lokkes til at installere en
keystroke logger eller ...

Doed over statiske passwords og enkel-faktor brugervalidering.

Nu.

Jeg mener det.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Alex Holst (08-10-2003)
Kommentar
Fra : Alex Holst


Dato : 08-10-03 16:08

Povl H. Pedersen <pope@home.terminal.dk> wrote:
> Jeg er ved at se på Secure-FTP til kunder. Nu er det så
> jeg er kommet i tvivl da der findes 2 versioner.

Som andre har vaeret inde paa, er der faktisk kun en, nemlig SFTP som er
en del af SSH. FTP over SSL er bare FTP over SSL.

Men hvad er krav til loesningen, ud over at det skal vaere supported?
Skal den rumme baade server og klient software? Integration med AD eller
LDAP? Mutual authentication? Andet?


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Povl H. Pedersen (10-10-2003)
Kommentar
Fra : Povl H. Pedersen


Dato : 10-10-03 00:13

On 2003-10-08,
Alex Holst <a@mongers.org> wrote:
> Povl H. Pedersen <pope@home.terminal.dk> wrote:
>> Jeg er ved at se på Secure-FTP til kunder. Nu er det så
>> jeg er kommet i tvivl da der findes 2 versioner.
>
> Som andre har vaeret inde paa, er der faktisk kun en, nemlig SFTP som er
> en del af SSH. FTP over SSL er bare FTP over SSL.
>
> Men hvad er krav til loesningen, ud over at det skal vaere supported?
> Skal den rumme baade server og klient software? Integration med AD eller
> LDAP? Mutual authentication? Andet?

Mit konkrete behov er:

Serversoftware til Windows. Kommercielt, supporteret,
fornuftig kryptering, fornuftig authentificering, dvs
klientcertifikater.

Skal sikre man kun kan se sit eget dir.

Gerne således at der kan åbnes for færrest mulige porte i FWall.

Gerne relativ simpel admin. Det er et driftsselskakb der laver det,
og ikke alle deres folk er lige gode. Gerne validering mod
anden server (public keys i DNS ?)

I forvejen er kravet, at klienter kommer fra kendte
IP adresser, så hvis der kun skal åbnes for 1-2 indkommende
porte er det optimalt.

Vi anbefaler at klienter også validerer server cert, og at begge
ender checker en eventuel CRL.

Alex Holst (10-10-2003)
Kommentar
Fra : Alex Holst


Dato : 10-10-03 09:26

Povl H. Pedersen <pope@home.terminal.dk> wrote:
> Mit konkrete behov er:
>
> Serversoftware til Windows. Kommercielt, supporteret,
> fornuftig kryptering, fornuftig authentificering, dvs
> klientcertifikater.
>
> Skal sikre man kun kan se sit eget dir.
[..]

Van Dyke's VShell produkt lader til at vaere en mulighed saa.

http://www.vandyke.com/products/vshell/

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Socketd (08-10-2003)
Kommentar
Fra : Socketd


Dato : 08-10-03 16:19

On Wed, 8 Oct 2003 16:58:57 +0200
Alex Holst <a@mongers.org> wrote:

> Det kommer jo an ens situation.

Sure does

> I stedet for at skrive "sikker" eller "usikker" burde vi holde for
> oeje hvilke angreb der er mulige mod det valgte system, og lade de
> ansvarlige beslutte hvor mange resourcer de vil bruge paa deployment,
> udstyr, traening, etc. Ideelt kunne dette vaere beskrevet i OSS'en saa
> spoergsmaal af den natur kunne besvares med et link.

Ok. Ja jeg har nok ikke den store brug for andet end statiske passwords,
faktisk så er SSL logins heller ikke absolut nødvendigt, men forskellige
behov kræver forskellige strategier.

> Finder du det saa usandsynligt at nogen nogensinde ville vaelge et
> password der er let at gaette, eller bruger det samme password andre
> steder hvor det let kan opsnappes eller lokkes til at installere en
> keystroke logger eller ...

Ah du lader selv brugeren vælge password? Anyway så ja, hvis brugeren
ikke passer på, så er statiske passwords ikke det fedeste i verden.

Btw, ved oprettelse af data forbindelsen bruges der vist ikke passwords,
vil dette ikke være en endnu større trussel end statiske passwords? Med
en fælles gateway og en sniffer, må man da kunne stjæle en file
transfer?

> Doed over statiske passwords og enkel-faktor brugervalidering.

Nu?

> Nu.

Er du sikker?

> Jeg mener det.

Nå ok...

db

Socketd (08-10-2003)
Kommentar
Fra : Socketd


Dato : 08-10-03 16:24

On Wed, 8 Oct 2003 17:18:36 +0200
Socketd <db@NO_SPAM_traceroute.dk> wrote:

> Btw, ved oprettelse af data forbindelsen bruges der vist ikke
> passwords, vil dette ikke være en endnu større trussel end statiske
> passwords? Med en fælles gateway og en sniffer, må man da kunne stjæle
> en file transfer?

Tsk, hvis man med en sniffer kan opfange hvilken port data forbindelsen
vil blive forbundet til, så har man jo nok også opfanget passwordet.
Nevermind det spørgsmål....

db

Hans Joergensen (09-10-2003)
Kommentar
Fra : Hans Joergensen


Dato : 09-10-03 02:20

Povl H. Pedersen wrote:
> Jeg er ved at se på Secure-FTP til kunder. Nu er det så
> jeg er kommet i tvivl da der findes 2 versioner.

Alt efter hvad det skal bruges til kan man også kigge på WebDav over
https, der findes masser af klienter og WebDav kan endda mappes som
drev inde i Windows

Og så kræver det sådan set bare en Apache-server med et module..

(er der iøvrigt nogle der har noget dårligt at sige om sådan en
løsning?)

// Hans
--
http://rd350.nathue.dk - Breaking the ozone-layer since 1985

Peter Mogensen (09-10-2003)
Kommentar
Fra : Peter Mogensen


Dato : 09-10-03 10:03

Hans Joergensen wrote:
> Alt efter hvad det skal bruges til kan man også kigge på WebDav over
> https, der findes masser af klienter og WebDav kan endda mappes som
> drev inde i Windows
>
> Og så kræver det sådan set bare en Apache-server med et module..
>
> (er der iøvrigt nogle der har noget dårligt at sige om sådan en
> løsning?)

Ikke som erstatning for FTP. Der er det glimrende.
Til mange andre anvendelser er det stadig ikke helt modent. F.eks. til
netværks-drev.
De forskellige klienter og servere implementerer ikke hele standarden
endnu og de anvender derfor også forskellige mådet at gøre det
forskellige ting på. Derfor sker det at nogle produkter ikke er helt
kompatible.

Peter



Hans Joergensen (09-10-2003)
Kommentar
Fra : Hans Joergensen


Dato : 09-10-03 10:15

Peter Mogensen wrote:
> Ikke som erstatning for FTP. Der er det glimrende.

Det var også formålet ...

Den første af den slags blev udløst af at det virker meget som om,
at dem der bygger SSL over FTP ikke helt kan blive enige om hvordan
det skal gøres... det lykkedes mig ikke på noget tidspunkt at finde
en ftpklient til Linux der virkede sammen med fx. proftpd's
SSL-implementering.

> Til mange andre anvendelser er det stadig ikke helt modent. F.eks. til
> netværks-drev.

Det egner det sig jo heller slet ikke til...

// Hans
--
http://www.dkfritidmotorcykel.dk/?id=43

Peter Mogensen (09-10-2003)
Kommentar
Fra : Peter Mogensen


Dato : 09-10-03 10:36

Hans Joergensen wrote:
> Det var også formålet ...

Netop... det mit tidligere indlæg

> Den første af den slags blev udløst af at det virker meget som om,
> at dem der bygger SSL over FTP ikke helt kan blive enige om hvordan
> det skal gøres... det lykkedes mig ikke på noget tidspunkt at finde
> en ftpklient til Linux der virkede sammen med fx. proftpd's
> SSL-implementering.

FTP er da også en træls protokol at kapsle ind i SSL.

>>Til mange andre anvendelser er det stadig ikke helt modent. F.eks. til
>>netværks-drev.
>
> Det egner det sig jo heller slet ikke til...

Ikke hvis du mener noget, der skal hamle op med NFS, SMB, eller lign. i
performance.

Men det kan være meget anvendeligt at kunne mappe en WebDAV server ind i
sit fil-system. Det er der også flere systemer, der gør. Bl.a. Linux
(davfs) og Windows (webfolders).

Peter



Kasper Dupont (09-10-2003)
Kommentar
Fra : Kasper Dupont


Dato : 09-10-03 10:54

Peter Mogensen wrote:
>
> Hans Joergensen wrote:
> > Den første af den slags blev udløst af at det virker meget som om,
> > at dem der bygger SSL over FTP ikke helt kan blive enige om hvordan
> > det skal gøres... det lykkedes mig ikke på noget tidspunkt at finde
> > en ftpklient til Linux der virkede sammen med fx. proftpd's
> > SSL-implementering.
>
> FTP er da også en træls protokol at kapsle ind i SSL.

FTP er i det hele taget på mange måder en træls protokol. De ekstra
TCP forbindelser er til besvær ikke blot ved indkapsling i SSL, men
også når man ønsker at bruge FTP gennem masquerading eller firewall.

Den eneste fordel jeg har hørt om ved den ekstra TCP forbindelse
er, at en klient kan få en server til at åbne denne ekstra TCP
forbindelse til en anden server i stedet for til klienten, sådan
at klienten kan kopiere filer mellem to FTP servere uden at selv
skulle bruge båndbredde på det. Noget tilsvarende kan dog sagtens
opnås med ssh ved at bruge ssh til at kalde en scp kommando på den
ene server.

At blive enige om, hvordan den første TCP forbindelse bruger SSL
burde være nemt, det kan vel foregå nøjagtig ligesom alt anden
brug af SSL. Men hvad med de resterende TCP forbindelser?

>
> >>Til mange andre anvendelser er det stadig ikke helt modent. F.eks. til
> >>netværks-drev.
> >
> > Det egner det sig jo heller slet ikke til...
>
> Ikke hvis du mener noget, der skal hamle op med NFS, SMB, eller lign. i
> performance.

Nu har performance vist aldrig været NFS stærke side.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

Peter Mogensen (09-10-2003)
Kommentar
Fra : Peter Mogensen


Dato : 09-10-03 11:22

Kasper Dupont wrote:

> Nu har performance vist aldrig været NFS stærke side.

:) ... jeg tror nu den holder skansen imod WebDAV's HTTP-baserede
protokol :)

Peter



Asbjorn Hojmark (09-10-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 09-10-03 21:22

On Thu, 09 Oct 2003 11:53:37 +0200, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

> FTP er i det hele taget på mange måder en træls protokol. De ekstra
> TCP forbindelser er til besvær ikke blot ved indkapsling i SSL, men
> også når man ønsker at bruge FTP gennem masquerading eller firewall.

Der er da vist ikke længere noget NAT-software, der har problemer
med FTP. (Så er det i hvert fald middelsvært 'broken' og burde
smides i /dev/nul).

> Nu har performance vist aldrig været NFS stærke side.

NFS (over UDP) performer faktisk vældig fint i et netværk med
relativt lav latency. Og hvis man kører over noget langsommere,
kan man jo køre det over TCP.

-A
--
http://www.hojmark.org/

Alex Holst (09-10-2003)
Kommentar
Fra : Alex Holst


Dato : 09-10-03 13:44

Hans Joergensen <haj@enterprise-server.dk> wrote:
> Og så kræver det sådan set bare en Apache-server med et module..
>
> (er der iøvrigt nogle der har noget dårligt at sige om sådan en
> løsning?)

Jeg må indrømme at have meget svært ved at komme ud over antallet af
kodelinier i en WebDAV løsning med f.eks. Apache2 + Subversion +
dependencies. Sidst jeg talte var der ca. en million linier kode.

Det har jeg det rigtigt dårligt med. Jeg vil som det mindste tilråde at
man ikke lader maskinen indeholder værdifulde data hvis den skal kobles
på nettet.

Det vil kræve meget arbejde at opnå en god chance for at opdage
angreb før de kommer helt ind.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Christian Laursen (09-10-2003)
Kommentar
Fra : Christian Laursen


Dato : 09-10-03 17:25

Alex Holst <a@mongers.org> writes:

> Hans Joergensen <haj@enterprise-server.dk> wrote:
> > Og så kræver det sådan set bare en Apache-server med et module..
> >
> > (er der iøvrigt nogle der har noget dårligt at sige om sådan en
> > løsning?)
>
> Jeg må indrømme at have meget svært ved at komme ud over antallet af
> kodelinier i en WebDAV løsning med f.eks. Apache2 + Subversion +
> dependencies. Sidst jeg talte var der ca. en million linier kode.

Hvis man blot har brug for WebDAV som et alternativ til andre
filoverførselsprotokoller, er Apache 2 ikke et krav.

mod_dav til Apache 1.3 fylder omkring 15000 kodelinjer, og virker
i øvrigt ganske fortrinligt.

--
Med venlig hilsen
Christian Laursen

Peter Mogensen (10-10-2003)
Kommentar
Fra : Peter Mogensen


Dato : 10-10-03 00:13

Christian Laursen wrote:
> Alex Holst <a@mongers.org> writes:
>>Jeg må indrømme at have meget svært ved at komme ud over antallet af
>>kodelinier i en WebDAV løsning med f.eks. Apache2 + Subversion +
>>dependencies. Sidst jeg talte var der ca. en million linier kode.
>
>
> Hvis man blot har brug for WebDAV som et alternativ til andre
> filoverførselsprotokoller, er Apache 2 ikke et krav.
>
> mod_dav til Apache 1.3 fylder omkring 15000 kodelinjer, og virker
> i øvrigt ganske fortrinligt.

Nu er der jo også en del FTP-servere, der har en _betydelig_ dårligere
sikkerheds-record end Apache.

Subversion er heller ikke nødvendig for at erstatte FTP med WebDAV.

Peter



Socketd (10-10-2003)
Kommentar
Fra : Socketd


Dato : 10-10-03 06:45

On Thu, 9 Oct 2003 23:07:09 +0000 (UTC)
"Povl H. Pedersen" <pope@home.terminal.dk> wrote:

> > http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html
>
> Jeg synes du mangler en ting i din server sektion.

Det er ikke min side hvis det er det du mener.

mvh
socketd

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste